IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation
    WannaCry 2.0 ? Une autre campagne mondiale d'attaques informatiques aux ransomwares a eu lieu,
    l'Ukraine en est la principale victime

    Aujourd’hui, Maersk, le grand armateur danois, a signalé avoir été la cible d’une cyberattaque : « Nous pouvons confirmer que les systèmes informatiques Maersk sont en panne sur plusieurs sites et unités d'affaires en raison d'une cyberattaque », a déclaré le Danois sur son site Web.

    Le poids lourd russe du pétrole Rosnoft s’est vu obligé de passer sur ses serveurs de secours après avoir affirmé qu’il était confronté à une « puissante cyberattaque ». L’annonceur britannique WPP a déclaré sur son Facebook qu'il a également été frappé par une cyberattaque, de même que le cabinet d'avocats DLA Piper.

    Le laboratoire pharmaceutique Merck est devenu la première victime connue aux États-Unis, son système informatique ayant été « compromis ». Le problème aurait même été répandu à ses filiales à l’extérieur des frontières américaines comme celle en Irlande, renvoyant les employés plus tôt chez eux, faute de pouvoir travailler.

    « [Nous voyons] plusieurs milliers de tentatives d'infection en ce moment, de taille comparable aux premières heures de WannaCry » , a déclaré Costin Raiu, de Kaspersky Lab, qui a prévenu sur Twitter que le logiciel malveillant « se répand dans le monde entier, un grand nombre de pays sont affectés .»

    Aucun lien officiel n'avait été établi cet après-midi entre ces différentes attaques, apparemment simultanées, mais des informations rapportées par plusieurs entreprises faisaient état d'un virus faisant apparaître une demande de rançon de 300 dollars sur l'écran de leurs ordinateurs.

    BitDefender, le spécialiste en sécurité, a imputé la responsabilité de ces attaques à une souche d’un ransomware baptisé GoldenEye et qui a des ressemblances avec le virus Wannacry, qui avait défrayé la chronique début mai.

    L'Ukraine cible principale

    L'impact semble avoir été plus sévère en Ukraine, selon Kaspersky. À cause de cette attaque, les passagers du métro de Kiev ne pouvaient pas payer en carte bancaire, les panneaux d'affichage de l'aéroport de Kiev ne fonctionnaient plus et des banques ukrainiennes devaient mettre en pause certains des services proposés à leurs clients.

    « La Banque Nationale d'Ukraine a signalé aux banques et aux autres agents du marché financier une attaque informatique externe menée aujourd'hui contre les sites des banques ukrainiennes et d'entreprises publiques et commerciales » , selon un communiqué de la banque centrale ukrainienne (NBU).

    Selon la société spécialisée en sécurité informatique Group-IB, « environ 80 entreprises ont été visées » en Russie et en Ukraine: dont Rosneft et de grosses banques ukrainiennes, mais aussi Mars, Nivea, Auchan et des structures gouvernementales ukrainiennes. Il s'agirait des conséquences d'une « version modifiée récemment » du virus Petya, selon la même source.


    Mais Igor Zdobnov, Chief Malware Analyst chez Doctor Web, réfute la possibilité qu’il s’agisse d’une version modifiée de Petya : « Il s’agit en fait d'une nouvelle version de ce Trojan. Certains médias font des parallèles avec le ransomware Petya (qui est détecté par Dr.Web comme Trojan.Ransom.369) en prenant en compte certaines manifestations externes de ses activités, cependant, la méthode de propagation de la nouvelle menace est différente du schéma standard utilisé dans Petya. »

    En Ukraine, le Premier ministre Volodymyr Groïsman a évoqué une attaque « sans précédent ». « Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires », a indiqué la banque centrale.

    Le site du gouvernement ukrainien a été bloqué, tout comme celui de la centrale Tchernobyl.
    En raison de pannes informatiques, la mesure du niveau de radiation sur le site, à l'arrêt total depuis 2000, se faisait « manuellement ».

    « Cela veut dire que nos techniciens mesurent la radioactivité avec des compteurs Geiger sur le site de la centrale, comme on le faisait il y a des dizaines d'années », a déclaré Olena Kovaltchouk, la porte-parole de l'Agence gouvernementale de gestion de la zone d'exclusion de Tchernobyl, ajoutant ne pas savoir quand un retour à la normale serait possible.

    Comment se répand le virus ?

    BitDefender a assuré qu’à l’heure actuelle, il n'y a pas d'informations sur le vecteur de propagation. Cependant, l’entreprise suppose qu’il est porté par un ver. « Contrairement à la plupart des ramsonwares, cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l'ordinateur et une autre qui chiffre les structures NTFS. Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD ».

    « En outre, une fois que le processus de chiffrement est terminé, le ransomware a une fonction spéciale qui consiste à forcer l’arrêt de l'ordinateur, déclenchant un redémarrage et rendant l'ordinateur inutilisable jusqu'à ce que la rançon de 300 $ soit payée. »

    Comme l'a noté le cabinet de sécurité FireEye en avril, les attaques exploitant une faille Windows, différente de celle que l’exploit EternalBlue utilisait, permettent à un pirate informatique d'exécuter des commandes sur un PC de l'utilisateur lorsqu'il ouvre un document malveillant. FireEye a vu des documents Office contenir le hack et télécharger des logiciels malveillants populaires sur des ordinateurs cibles.

    Le PDG de Hacker House, Matthew Hickey, a déclaré que les attaques initiales semblaient avoir été livrées par cette dernière attaque, en utilisant des courriels de phishing contenant des fichiers Excel. Les logiciels malveillants de Petya se sont peut-être propagés si vite en utilisant par la suite les caractéristiques de l'attaque de la NSA, a-t-il ajouté, confirmant que le code du ransomware utilisait certainement EternalBlue.

    « Cette fois, elle va atteindre les gens qui n'ont pas été touchés par WannaCry parce qu'elle ira dans les réseaux internes par courrier électronique », a averti Hickey.

    Source : Forbes

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    D'après ce que j'ai pu comprendre, l'entrée se fait par phishing et la contamination du réseau par EternalBlue ou outils d'administration Microsoft demandant malgré tout des droits admin pour opérer mais quel est le payload pour les obtenir...
    Moralité : dès que vous êtes touchés, coupez tous les accès réseaux. C'est une belle merde. Et faites vos sauvegardes. Curieusement, seul l'occident est impacté et le dernier pays anti-occident restant dans le monde s'appelle la Corée du nord.

    Edit : Ce ne serait pas la Corée ? Qui a intérêt à blaster l'Ukraine ? Les américains en faisant porter le chapeau ? Un tir ami extrêmement douloureux à mon sens...
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2016
    Messages
    223
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2016
    Messages : 223
    Points : 561
    Points
    561
    Par défaut
    > L'impact semble avoir été plus sévère en Ukraine, selon Kaspersky. À cause de cette attaque, les passagers du métro de Kiev ne pouvaient pas payer en carte bancaire, les panneaux d'affichage de l'aéroport de Kiev ne fonctionnaient plus et des banques ukrainiennes devaient mettre en pause certains des services proposés à leurs clients.

    Dingue, il y a +20 ans, c'était surtout la trame d'un film d'action.

    Déjà on en parlait pour dire que vraiment c'est pas terrible.

    Figurez vous que la réalité dépasse la fiction.

    De cela j'invite les gens à bien réfléchir à ce qu'ils font il y à plusieurs sujets technologique qui impacte la vie quotidienne et dont on soupçonne bien le pouvoir néfaste mais que l'on refuse de voir.

    _____

    Cette attaque, vu le peu qu'on en sait dans la news, pas grand chose à en dire.

    Par contre, je trouve très intéressant cette idée de déployer sur les médias de masse l'idée d'une attaque informatique de grande ampleur fictive afin de manipuler les cours de la bourse (comme en '29).

  4. #4
    Membre habitué
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    173
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 173
    Points : 187
    Points
    187
    Par défaut
    cette nouvelle variante GoldenEye comporte deux couches de chiffrement : une qui chiffre individuellement les fichiers présents sur l'ordinateur et une autre qui chiffre les structures NTFS. Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD »
    Bonjour,
    Je ne comprend pas la partie citée et en quoi cela bloque le boot sur live CD. Quelqu'un peut-il m'expliquer svp?
    Diplomes: DUT informatique et Master 2 MIAGE.
    Développeur Java/J2EE (principalement), .NET (niveau scolaire mais je compte m'améliorer ) et Web (HTML, PHP...).

  5. #5
    Membre averti

    Homme Profil pro
    Développeur Web
    Inscrit en
    Février 2013
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2013
    Messages : 88
    Points : 447
    Points
    447
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par philou44300 Voir le message
    Bonjour,
    Je ne comprend pas la partie citée et en quoi cela bloque le boot sur live CD. Quelqu'un peut-il m'expliquer svp?
    Bonjour philou44300,

    Si tu laisses les registres NTFS, la structure de ton disque (tes dossiers, le nom de tes fichiers, leur taille sur le disque, etc...) reste intacte et du coup, si tu vois le problème arriver, tu peux récupérer ce qui n'a pas encore été crypté en bootant sur un Unix. Si tu crypte ces registres, le disque est irrécupérable quasiment dès le début de l'opération.

  6. #6
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation
    Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation,
    et donne des recommandations pour éviter la menace

    La vague d’attaques mondiales au ransomware, qui rappelle le tristement célèbre WannaCry, n’a pas manqué de toucher également la France. La CERT-FR, cellule nationale d’alertes aux menaces informatiques, a émis un bulletin d’alerte qui indique que cette campagne de rançongiciels dispose de multiples capacités de propagation.

    Le risque encouru ? Les entreprises et particuliers pourront subir l’installation et propagation d’un logiciel malveillant de type rançongiciel, voire, à terme, d’autres logiciels malveillants.

    Concernant le vecteur de propagation, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (qui est rattaché à l’Agence nationale de la sécurité des systèmes d’information ou ANSSI) a précisé que l’ANSSI ne dispose pas à cette heure de preuves suffisantes permettant de définir de façon certaine le vecteur initial d’infection. Le vecteur d’infection initial pourrait utiliser des méthodes d’hameçonnage exploitant la vulnérabilité CVE-2017- 0199. Dans ce cas, un fichier de type rtf est en pièce jointe du courriel. Une fois ouvert, ce fichier télécharge un document Excel qui à son tour récupère le logiciel malveillant.

    Microsoft indique que le logiciel de paiement de taxe MEDoc pourrait être un des vecteurs initiaux d’infection via une mise à jour automatique. Lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l’API CredEnumerateW.

    Le rançongiciel dispose de plusieurs capacités pour se propager sur le réseau :
    • en utilisant les identifiants récupérés sur la machine ;
    • en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

    « La ressemblance avec Petya n'est que superficielle », a noté le spécialiste en sécurité informatique The Grugq. « Bien qu'il y ait un partage significatif de code, le vrai Petya était une entreprise criminelle établie pour gagner de l'argent. Ce [dernier logiciel malveillant] n'est certainement pas conçu pour gagner de l'argent. Il est conçu pour se répandre rapidement et causer des dégâts, avec une couverture plausiblement invalidable de ransomware. »

    Certains analystes ont trouvé des traces de Petya dans ce nouveau ransomware, d’autres ont plutôt trouvé des souches de GoldenEye. Aussi, en attendant d’avoir plus d’informations, certains ont décidé de le baptiser Petya/NotPetya.

    Voici un résumé de la campagne de piratage de Petya/NotPetya.
    • Le logiciel malveillant utilise un tas d'outils pour se déplacer dans un réseau, en infectant les machines au fur et à mesure. Il utilise une version modifiée de l’outil open source Minikatz pour extraire les informations d'identification des administrateurs réseau hors de la mémoire en cours d'exécution de la machine. Il utilise ces détails pour se connecter et exécuter des commandes sur d'autres machines en utilisant PsExec et WMIC pour les infecter.
    • Il utilise également une version modifiée de l'exploit EBSBlue SMB de la NSA, précédemment utilisé par WannaCry, en plus de l'exploit EternalRomance SMB (également de la NSA) pour infecter d'autres systèmes en leur injectant un code malveillant. Il s’appuie sur des vulnérabilités qui ont été corrigées par Microsoft plus tôt cette année, de sorte que le vol d'identification a plus de chances de réussite sur des machines qui n’ont pas effectué la mise à jour.
    • Le logiciel cherche à obtenir un accès administrateur sur une machine, puis tire parti de ses privilèges pour commander d'autres ordinateurs sur le réseau : il profite du fait que nombreuses sont les entreprises qui se servent de configuration réseaux dans lesquelles un administrateur sur un point final peut contrôler d'autres machines, ou alors il récupère les informations d'identification de l'administrateur de domaine en mémoire, jusqu'à ce que le contrôle total sur le réseau Windows soit atteint.
    • Une façon d'obtenir un accès administratif est d'utiliser les exploits NSA. Une autre façon est de faire passer le logiciel malveillant pour une mise à jour sur une suite d'applications en cours d'exécution en tant qu'administrateur ou administrateur de domaine, ce qui va provoquer l’exécution du logiciel malveillant sur le réseau de l'entreprise avec de grands privilèges. Il est entendu que Petya/NotPetya est entré dans les réseaux d'entreprise en tant qu'administrateur via une mise à jour logicielle détournée par un outil de logiciel fiscal ukrainien et par courrier électronique de phishing.
    • Avec l'accès à l'administrateur, le logiciel malveillant peut réécrire le Master Boot Record (zone d’amorçage) du disque dur de la station de travail locale, il peut également chiffrer les tables et les fichiers du système de fichiers sur le lecteur. NotPetya utilise AES-128 pour chiffrer les données.

    Le CERT-FR recommande :
    • l’application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17- 010 ;
    • le respect des recommandations génériques relatives aux rançongiciels ;
    • de limiter l’exposition du service SMB, en particulier sur internet ;
    • respecter le principe de moindre privilège pour les utilisateurs, afin de limiter l’élévation de privilèges et la propagation latérale de l’attaquant ;
    • de ne pas payer la rançon. En outre, les mesures suivantes permettraient de limiter la propagation des souches aujourd’hui identifiées :
      • empêcher l’exécution de PSExec sur les machines,
      • empêcher la création de processus à distance par WMI,
      • empêcher l’exécution de C:\Windows\perfc.dat,
      • créer un fichier vide C:\Windows\perfc.

    De manière préventive, s’il n’est pas possible de mettre à jour une machine, il est recommandé de l’isoler logiquement, voire de l’éteindre le temps d’appliquer les mesures adaptées de protection. La désactivation du protocole SMBv1 peut être un plus, mais ne saurait remplacer l’installation des correctifs.

    Source : bulletin d'alerte CERT-FR (au format PDF), The Grugq

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  7. #7
    Membre averti Avatar de Tartare2240
    Homme Profil pro
    Développeur Web
    Inscrit en
    Mars 2016
    Messages
    95
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Mars 2016
    Messages : 95
    Points : 435
    Points
    435

  8. #8
    Community Manager

    Avatar de Malick
    Homme Profil pro
    Community Manager
    Inscrit en
    Juillet 2012
    Messages
    9 121
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Community Manager
    Secteur : Conseil

    Informations forums :
    Inscription : Juillet 2012
    Messages : 9 121
    Points : 83 910
    Points
    83 910
    Billets dans le blog
    15
    Par défaut
    Salut,

    Citation Envoyé par Tartare2240 Voir le message
    Chez moi le premier lien fourni comme source fonctionne bien ; c'est un fichier PDF qui est téléchargé en cliquant dessus.
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  9. #9
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    10 700
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Juillet 2006
    Messages : 10 700
    Points : 15 043
    Points
    15 043
    Par défaut
    Bonsoir,
    Citation Envoyé par Grimly Voir le message
    Si tu laisses les registres NTFS, la structure de ton disque (tes dossiers, le nom de tes fichiers, leur taille sur le disque, etc...) reste intacte et du coup, si tu vois le problème arriver, tu peux récupérer ce qui n'a pas encore été crypté en bootant sur un Unix. Si tu cryptes ces registres, le disque est irrécupérable quasiment dès le début de l'opération.
    C'est quoi les registres NTFS ? Jamais entendu parler depuis NT4...

    Citation Envoyé par philou44300 Voir le message
    Citation Envoyé par Stéphane le calme Voir le message
    Ce procédé empêche les victimes de démarrer leurs ordinateurs sur un système d’exploitation via un live USB ou live CD ».
    Bonjour,
    Je ne comprend pas la partie citée et en quoi cela bloque le boot sur live CD. Quelqu'un peut-il m'expliquer svp?
    Quant à ça, je suspecte une mauvaise traduction car je ne vois pas en quoi le cryptage d'un disque empêcherait le boot sur un LiveCD. Que ça empêche la récupération, d'accord, mais le boot
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  10. #10
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2011
    Messages
    183
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Gard (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mars 2011
    Messages : 183
    Points : 715
    Points
    715
    Par défaut
    Pour moi aussi le lien fonctionne, pourquoi ton nav rajoute des espace est un mystère...

    Voila le problème des portes dérobées créer intentionnellement, si les pirates les trouvent, sa peut vite devenir un problème.
    Surtout quand ils savent qu'elles existent, les teams ne renoncent pas devant un défis...

    Citation Envoyé par Jipété Voir le message
    Quant à ça, je suspecte une mauvaise traduction car je ne vois pas en quoi le cryptage d'un disque empêcherait le boot sur un LiveCD. Que ça empêche la récupération, d'accord, mais le boot
    Je suis tout a fait d'accord avec toi, mais je connais pas assez l'UEFI pour en parler, sachant que certains ordinateurs portable ,elle est obligatoire.

  11. #11
    Membre habitué
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    173
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 173
    Points : 187
    Points
    187
    Par défaut
    Merci pour vos retours et effectivement Jipété je ne comprend pas aussi en quoi cela empêche de démarrer à partir d'un live cd. Je pense également que cela empêche de récupérer les données à partir d'un live cd car, comme expliqué par Grimly, cela doit chiffrer ce qui contient les emplacements des fichiers sur le disque dûr (mais je ne m'y connais pas assez dans ce domaine).
    Diplomes: DUT informatique et Master 2 MIAGE.
    Développeur Java/J2EE (principalement), .NET (niveau scolaire mais je compte m'améliorer ) et Web (HTML, PHP...).

  12. #12
    Membre averti
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2016
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2016
    Messages : 91
    Points : 394
    Points
    394
    Par défaut
    Petya, c'est pas celui dont il existait un dépôt github qui a été supprimé il n'y a pas longtemps dont le github servait à montrer comment ça marche et comment reverse les effets du virus ?

    EDIT : My bad le dépôt existe toujours : https://github.com/leo-stone/hack-petya
    Théorie : ça marche pas mais on sait pourquoi
    Pratique : ça marche mais on sait pas pourquoi
    Programmation : ça marche pas et on sait pas pourquoi

  13. #13
    Modérateur
    Avatar de wax78
    Homme Profil pro
    Chef programmeur
    Inscrit en
    Août 2006
    Messages
    4 072
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2006
    Messages : 4 072
    Points : 7 974
    Points
    7 974
    Par défaut
    Citation Envoyé par Malick Voir le message
    Salut,



    Chez moi le premier lien fourni comme source fonctionne bien ; c'est un fichier PDF qui est téléchargé en cliquant dessus.
    Bah non chez moi non plus le premier lien n'est pas bon il y'a %20 (espace) dans l'url... Pour le PDF c'est le 2ème lien qui lui est valide.
    (Les "ça ne marche pas", même écrits sans faute(s), vous porteront discrédit ad vitam æternam et malheur pendant 7 ans)

    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  14. #14
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2005
    Messages : 4 413
    Points : 19 608
    Points
    19 608
    Par défaut
    Il s'agirait en fait d'un wiper déguisé en ransomware , le but n'étant donc pas de gagner de l'argent mais de détruire les données des postes ciblés.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  15. #15
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 875
    Points : 86 930
    Points
    86 930
    Billets dans le blog
    2
    Par défaut Petya/NotPetya serait un wiper déguisé en ransomware
    Petya/NotPetya serait un wiper déguisé en ransomware
    son objectif serait de supprimer irrévocablement les données de ses victimes

    Plusieurs experts en sécurité soutiennent que Petya/NotPetya ne serait rien d’autre qu’un wiper déguisé en ransomware. C’est-à-dire que son objectif est de détruire les données de ses victimes. L’analyse d’échantillons de son code source indique en effet que ce malware est destiné à supprimer de manière irrévocable les données de ses victimes et non de les restaurer après paiement de la rançon de 300 $ demandée.

    Pour information, ce « faux » ransomware qui a tout de suite fait penser à WannaCry a commencé à semer la terreur ce mardi 27 juin. Se propageant comme un ver, Petya/NotPetya a infecté de nombreuses entreprises et organisations, notamment en Ukraine. Les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de la campagne mondiale du ransomware WannaCry. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.


    Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données.

    Kaspersky a analysé la routine de déchiffrement du nouveau malware et a découvert que l'acteur de la menace ne peut déchiffrer le disque des victimes, même si un paiement est effectué. Tout d'abord, il faut noter qu’afin de déchiffrer le disque de la victime, les attaquants ont besoin d’un ID d'installation fourni dans le message de demande de rançon. Dans les versions antérieures des ransomwares similaires (le cas de Petya notamment), cet ID d'installation contient des informations cruciales pour générer la clé de déchiffrement. Une fois cette information est envoyée à l'attaquant, il peut alors extraire la clé de déchiffrement. Dans le cas de Petya/NotPetya, l'ID affiché dans le message de demande de rançon est simplement une donnée aléatoire. « Cela signifie que l'attaquant ne peut pas extraire les informations de déchiffrement d'une telle chaîne générée de manière aléatoire affichée à la victime et, par conséquent, les victimes ne pourront déchiffrer aucun des disques chiffrés à l'aide de l'ID d'installation », explique Kaspersky.

    D’après la firme de sécurité russe, « cela renforce la théorie selon laquelle l'objectif principal de l'attaque de [Petya/NotPetya] n'était pas motivé financièrement, mais était destructeur ».

    Dans une autre analyse indépendante, Matt Suiche de Comae Technologies conclut que les développeurs de Petya/NotPetya ont simplement réécrit Petya de sorte que les données des victimes soient supprimées de manière irrévocable. Il découvre que le malware écrase expressément les 25 premiers blocs des disques des machines de ses victimes. Les « 24 blocs à la suite du premier bloc sont remplacés, ils ne sont pas lus ou enregistrés quelque part. Alors que la version originale de Petya lit correctement chaque bloc et les encode de manière réversible », explique Matt Suiche. Autrement dit, la version originale de Petya modifie le disque de manière à pouvoir rétablir ses modifications, alors que Petya/NotPetya inflige des dommages permanents et irréversibles au disque.

    Dans un tweet, l’expert en sécurité de Comae Technologies affirme que « les ransomwares et hackers sont en train de devenir les boucs émissaires des attaquants [parrainés par des gouvernements]. » Il pense en effet que Petya/NotPetya est en fait « un leurre pour contrôler le récit médiatique, surtout après les incidents de WannaCry, pour attirer l'attention sur un groupe de pirates mystérieux plutôt que sur un attaquant [parrainé par un gouvernement] », comme cela a été le cas dans le passé avec des malwares similaires visant à détruire des données de certaines organisations. L’Ukraine majoritairement touchée serait donc la cible.

    Sources : Kaspersky, Matt Suiche

    Et vous ?

    Que pensez-vous des analyses faites par Kaspersky et Matt Suiche ?

    Voir aussi :

    Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement, avec un outil de Kaspersky
    Un hébergeur Web en Corée du Sud accepte de payer près d'un million d'euros en bitcoins, suite à une attaque de ransomware Linux
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  16. #16
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    Comment dit-on en Russe "Vlad, arrête tes conneries stp ?"
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  17. #17
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 814
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 814
    Points : 50 871
    Points
    50 871
    Par défaut L’Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie
    L’Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie
    En s’appuyant sur des données de la firme ESET entre autres

    Une semaine après que le wiper Petya/NotPetya a commencé à sévir, d’abord en Ukraine, puis de par le monde, les firmes de sécurité commencent à publier leurs analyses respectives du phénomène, ce qui lance la chasse aux sorcières dans ce nouveau feuilleton.

    Se fondant sur une analyse toute récente de la firme de sécurité ESET entre autres, les services secrets ukrainiens viennent d’accuser la Russie d’avoir planifié et lancé cette nouvelle cyberattaque d’envergure mondiale.

    Les analyses de la firme ESET et Kaspersky Lab notamment lient le wiper Petya/NotPetya aux activités d’un groupe de hackers qui opère depuis 2007. Les campagnes malicieuses attribuées à ce groupe ont tour à tour pris des noms comme Sandworm, TeleBots ou Black Energy particulièrement connue pour avoir plongé l’ouest de l’Ukraine dans le noir en décembre 2015.

    KillDisk fait également partie de la longue liste de malwares dans l’arsenal de ce groupe. On sait qu’il a été conçu pour provoquer des pannes sur les réseaux électriques ukrainiens en 2015, probablement dans le dessein de saboter des systèmes industriels ou masquer les traces d’une cyberattaque.

    Le plus intéressant à son sujet est le parallèle qu’il est possible d’établir avec le wiper Petya/NoPetya déguisé en ransomware. En décembre 2016, la firme de sécurité CyberX a découvert un échantillon de KillDisk déguisé en ransomware, une analyse confirmée par celle de la firme de sécurité ESET en janvier 2017. Le montant exigé par les hackers dans le cadre de ces campagnes indiquait clairement que l’utilisation du malware contre l’Ukraine avait uniquement des desseins destructeurs.

    C’est d’ailleurs sur les similarités entre les infrastructures exploitées, les tactiques, les techniques, les procédures et surtout sur le choix de la victime que la firme ESET base sa récente analyse pour établir le lien entre le wiper Petya/NotPetya et les campagnes Sandworm, Black Energy et TeleBots entre autres.

    « Il ne s’agit pas d’un incident isolé. Il s’agit de la dernière d’une longue série d’attaques similaires contre l’Ukraine », peut-on lire dans le rapport d’Anton Cherepanov de la firme ESET. Et d’ajouter que « ce groupe continue d’améliorer ses méthodes pour mener des attaques contre l’Ukraine. Avant cette vague d’attaques, le groupe en avait au secteur financier de ce pays. Celle-ci est plutôt dirigée contre des entreprises. Seulement, les hackers auraient sous-estimé les capacités de diffusion du malware. Raison pour laquelle il est devenu incontrôlable ».

    Ainsi, pas d’attaque frontale de la firme de sécurité vis-à-vis d’un État. En matière de cybersécurité, les conclusions sont tirées avec la plus grande prudence. Il est simplement question d’un groupe que d’autres acteurs de la scène ont eu à lier à la Russie dans le cadre d’autres campagnes. Du point de vue du Service de sécurité ukrainien cependant, ces développements sont suffisants pour, sans détour, pointer un doigt accusateur sur la Russie.

    Igor Mozorov, un membre de la Chambre haute du parlement russe, a qualifié les accusations de l’Ukraine contre la Russie de « fiction » et a ajouté que cette cyberattaque serait plutôt l’œuvre des Américains.

    Source : Go, ESET

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Des pirates provoquent une nouvelle panne d'électricité en Ukraine, la campagne d'attaques a ciblé d'autres infrastructures sensibles
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  18. #18
    Membre averti
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2016
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2016
    Messages : 91
    Points : 394
    Points
    394
    Par défaut
    Là c'est une surprise pour pas grand monde que la Russie soit pointée du doigt, et encore moins que celle-ci désigne les américains. Bientôt une cyberguerre froide (même si elle a déjà commencée en réalité).
    Théorie : ça marche pas mais on sait pourquoi
    Pratique : ça marche mais on sait pas pourquoi
    Programmation : ça marche pas et on sait pas pourquoi

  19. #19
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 814
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 814
    Points : 50 871
    Points
    50 871
    Par défaut Petya/NotPetya : erreur des experts d’ESET et Microsoft sur la cible initiale du wiper ?
    Petya/NotPetya : erreur des experts d’ESET et Microsoft sur la cible initiale du wiper ?
    La compagnie ukrainienne Intellect Service se dédouane

    « Microsoft a maintenant des preuves que les infections par le ransomware sont dues au processus de mise à jour du logiciel MEDoc », peut-on lire sur le bulletin de sécurité de Microsoft – daté du 27 juin dernier – relatif au wiper Petya/NotPetya.

    Du côté de la firme sécurité ESET, même son de cloche avec une déclaration similaire : « des attaquants ont compromis avec succès le logiciel comptable M.E.Doc populaire dans plusieurs industries en Ukraine dont celle du domaine des finances. »

    « Plusieurs d’entre elles ont exécuté une mise à jour de M.E.Doc corrompue par un cheval de Troie, ce qui a permis aux attaquants de lancer cette campagne globale », ont ajouté les experts de la firme de sécurité ESET dans leur bulletin de sécurité daté du 27 juin.

    La société ukrainienne Intellect Service développe le logiciel comptable M.E.Doc. Si l’on s’en tient aux chiffres dont Reuters s’est fait le relais, ce dernier fait partie du quotidien de 80 % d’entreprises ukrainiennes qui comptent pour 400 000 opérateurs sur ce logiciel, des chiffres qui, de l’avis des enquêteurs dont la police ukrainienne, font du logiciel comptable, la cible de choix pour atteindre le plus de victimes en une fois.

    Ainsi, depuis le 27 juin, jour où le wiper a commencé à sévir, Sergei et Olesya Sinnik, fondateurs de l’entreprise familiale Intellect Service, qui développe le logiciel comptable, sont accusés d’être à l’origine de la propagation du wiper. Désormais des poursuites judiciaires les guettent d’après ce que rapporte Reuters lundi.

    Serhiy Demeduyk, chef de la cyberpolice ukrainienne a en effet déclaré que « nous avons un souci avec l’équipe dirigeante de cette entreprise parce qu’elle était informée de l’infection du logiciel, mais n’a pris aucune disposition. En cas de confirmation des informations initiales en notre possession, des poursuites suivront. »

    Au lendemain des attaques initiales du wiper, les fondateurs d’Intellect, déjà pilonnés de toutes parts, avaient déjà eu à réfuter toutes les allégations selon lesquelles leur logiciel est à l’origine de la propagation du wiper. Faisant suite aux toutes récentes menaces de poursuites judiciaires lancées par la cyberpolice ukrainienne, ils se sont à nouveau exprimés.

    « Nous avons analysé notre produit et n’y avons découvert aucune trace d’infection. Les mises à jour, transmises bien avant que les cas d’infection ne soient signalés, ont été analysées et ne sont pas infectées », a déclaré Olesya Linnik, qui a ajouté que « la cyberpolice investigue actuellement sur les logs de nos serveurs et, jusqu’ici, rien n’indique que nos systèmes sont à l’origine de la propagation du malware. »

    Si des doutes subsistent encore quant au vecteur initial de propagation – l’une des difficultés récurrentes en matière de cyberattaques – les dégâts du wiper pour leur part sont plus palpables. À ce jour, un minimum de 80 institutions – dont des institutions gouvernementales et des banques – a été touché.

    Source : Reuters

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  20. #20
    Nouveau membre du Club Avatar de pik_0fr
    Homme Profil pro
    Locaconcept
    Inscrit en
    Octobre 2006
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Locaconcept
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2006
    Messages : 19
    Points : 38
    Points
    38
    Par défaut
    Citation Envoyé par philou44300
    Merci pour vos retours et effectivement Jipété je ne comprend pas aussi en quoi cela empêche de démarrer à partir d'un live cd. Je pense également que cela empêche de récupérer les données à partir d'un live cd car, comme expliqué par Grimly, cela doit chiffrer ce qui contient les emplacements des fichiers sur le disque dûr (mais je ne m'y connais pas assez dans ce domaine).
    crypté la table NTFS c'est comme crypté le sommaire d'un livre et de dire où est le paragraphe sur tel chose. A part scanner le disque en entier c'est la galère. Il existe des outils pour reconstruire des tables mais le temps d'action est démentiel.

    Et pour moi aussi, le cryptage de la table ne peut pas empêcher le boot sur liveCD ou USB (qui est géré par le Bios de la Carte Mère), mais la récupération. J'ai lu par contre que c'est un cryptage de la MBR qui oblige le reboot sur Petya donc si on est suffisamment rapide en réaction, lorsqu'il reboot la première fois on doit pouvoir sauver les données elles même, mais il faudra reconstitué la table NTFS. Au delà du premier reboot il crypte aussi les données.
    pik_0fr, skull squadron ace
    ---
    pik : trigram sur arcade
    0 : car je suis un prototype et pas la copie de quelqu'un
    fr : ndd

Discussions similaires

  1. Lancer un programme, mais sur une autre machine
    Par GOUGOU1 dans le forum Réseau
    Réponses: 12
    Dernier message: 08/12/2002, 21h36
  2. Recuper les items de ListBox d'une autre application [API?]
    Par Shamanisator dans le forum API, COM et SDKs
    Réponses: 3
    Dernier message: 27/09/2002, 13h32
  3. Reprendre une procedure dans une autre ?
    Par Poisson Rouge dans le forum Langage
    Réponses: 3
    Dernier message: 17/07/2002, 23h51
  4. Réponses: 2
    Dernier message: 10/07/2002, 12h51
  5. Réponses: 3
    Dernier message: 09/05/2002, 02h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo